보안전문가 사이에서는 ‘인터넷 웜’으로 알려진 조그만 프로그램이 2주 전 사이버공간을 초토화시켰다.
‘슬래머(Slammer)’라고도 불린 이 웜은 전자우편과 웹사이트의 파괴라는 흔한 피해 그 이상의 손해를 끼쳤다. 이 웜은 시애틀 주변의 911 긴급전화시스템을 마비시켰고, 뱅크오브아메리카의 입출금 단말기를 정지시켰으며, 콘티넨털항공 발권시스템도 엉망으로 만들었다.
이 공격은 너무나 잘 알려진 마이크로소프트(MS)의 한 데이터베이스 프로그램의 허점을 이용한 것이었다. MS는 이미 6개월 전 이 결함을 고칠 수 있는 소프트웨어 ‘패치’를 배포했다. 이 패치를 설치한 컴퓨터들은 웜의 피해를 직접 받지 않았으나 아이러니하게도 MS 자체 컴퓨터 서버 중 일부가 이 패치를 설치하지 않아 슬래머에게 압도당하기도 했다.
인터넷 공격이 일어났다는 사실 자체는 대부분의 보안전문가에게 놀라운 소식은 아니다.
하지만 최근 국가사이버공간보안전략(NSSC) 최고책임자로 퇴임한 리처드 클라크가 이 웜을 ‘싸구려’나 ‘멍청이’라고 홀대했음에도 불구하고 비교적 단순한 이 웜이 인터넷 이상의 전자시스템에 피해를 입혔다는 사실은 걱정거리가 아닐 수 없다.
클라크는 “사이버공간의 잘 알려진 취약점들을 보다 세련된 방법으로 공격하면 그 피해는 매우 커질 수 있다”며 “과거의 피해 정도로 미래의 피해를 예상할 수 없을 것”이라고 경고했다.
사이버공간을 보다 안전하게 만드는 일은 쉽지 않다. 전세계 네트워크는 어떤 누구도 연결할 수 있도록 구성된 자유로운 미디어로 발전해왔다. 이 네트워크는 컴퓨터 제품의 제조방식과 네트워크 유지방식의 근본적인 변화가 없으면 취약할 수밖에 없다.
퍼듀대학의 보안문제 전문 컴퓨터공학 교수인 유진 H 스패포드는 “시스템이 복잡해지고 있어 시스템 고장이 커다란 피해를 초래하고 있다”고 지적했다.
하지만 기술만 좋아졌다고 문제를 충분히 해결할 수는 없다. 사이버공간을 더욱 안전하게 하려면 기술 관련 의사결정의 배경이 되는 경제 여건에 영향을 미치는 정책 변화가 반드시 필요하다.
카운터페인인터넷시큐리티의 최고기술책임자(CTO) 브루스 슈나이어는 기업들이 보안문제를 단지 수많은 기업 위험 가운데 하나로 여겨 이 문제를 비용최소화 차원에서 결정하고 있다고 지적했다. 사이버공간의 보안 개선 전망은 보안 무시 비용이 추가보안조치의 혜택을 크게 압도하는 한 어둡기만 하다는 얘기다.
슈나이어는 저질 소프트웨어 제작과 네트워크 방치에 대한 책임을 묻는 것이 보안을 강화하는 가장 중요한 단일조치가 될 수 있다는 설득력 있는 주장을 내놨다. 그는 한 기고문에서 “책임을 지워야만 모든 것을 변화시킬 수 있다”고 잘라 말했다.
책임지우기가 기업들에 제품 개발의 우선순위를 재고토록 강제한다는 지적이다. 현재 기업들은 보안보다 신기능을 우선시하고 있어 책임을 지워야만 자체 네트워크와 고객데이터 수호에 보다 적극적이 된다는 주장이다. 특히 보험업계에도 이 같은 책임지우기가 위험관리를 보완해 보안 수준도 높여줄 것이라는 지적이다.
슈나이어는 “기업이 자사 창고 경비를 강화하는 것은 그렇게 해야 안전하다고 느끼기 때문이 아니라 그렇게 해야 보험료가 떨어지기 때문”이라고 해석했다.
마지막으로 책임강화는 제품 개발과 네트워크 보안의 최소 기준을 확립하는 데 도움이 된다.
스패포드 교수도 비슷한 해법을 제시했다. 그는 “특정 보안기술 투자에 대해 세금감면도 생각할 수 있다”며 “아니면 보안이 안된 소프트웨어를 사용하는 기업에 강철 대신 인화성 목재로 공장을 신축하는 시공사에 대해 책임을 물리는 것처럼 책임을 물을 수도 있을 것”이라고 분석했다.
결국 인터넷 보안은 어쩌면 공중보건과도 비슷하다. 한 개인이 질병 예방을 하지 않으면 그 개인뿐만 아니라 다른 사람도 질병에 걸릴 위험이 있다는 뜻이다.
하지만 불행하게도 클라크가 머지않아 내놓을 보안강화 제안 보고서에서 이런 접근방법을 지지할 공산은 적어 보인다. 예전의 보안강화 전략안들은 강요에 대해 거부반응을 보이는 하이테크업계의 압력으로 희석되곤 했다. 스패포드 교수도 이에 대해 “보안강화 전략이 처음에는 강제로 출발해 다음에는 권고사항으로, 다음에는 제안이라는 수준으로 약화돼왔다”고 지적했다.
정책입안자들이 정책 결정에 신중을 기해온 것은 잘한 일이다. 복잡다단한 분야에서 정책 방향을 잘못 잡으면 사태가 개선되기는커녕 쉽게 악화될 공산도 크다. 게다가 어느 누구도 파괴적인 공격의 대가가 예상보다 훨씬 컸다는 것을 깨닫기 전까지 사업비용을 늘리려 하지 않기 때문에 정책 결정은 신중하게 내려져야 한다.
<제이 안기자 jayahn@ibiztoday.com>